Was Applikationserkennung den Administratoren bringt
Social Media im Unternehmensnetz
Social-Media-Applicationen wie Facebook, Youtube und Co. buhlen um die Gunst der Anwender - und dies auch am Arbeitsplatz. Für Unternehmensnetze stellen sie jedoch Sicherheitsrisiken dar und kosten zudem teilweise erhebliche Bandbreite. Next Generation Firewalls ermöglichen Administratoren jedoch, den Datenverkehr applikationsbezogen zu analysieren und bei Bedarf zu blockieren. Wie aber identifiziert die Firewall verschiedene Anwendungen? Wie kann der Administrator Rechte und Regeln managen?Eine der beliebtesten Social-Media-Applikationen, mit denen auch Unternehmensnetze konfrontiert sind, ist zweifellos Facebook. Öffnet ein Mitarbeiter beispielsweise seine Facebook-Seite, dann generiert der Browser Verbindungen zu unterschiedlichen Hosts und lädt zahlreiche Objekte herunter. Laut dem US-amerikanischen IT-Beratungsunternehmen Opus One identifizierte ein Test 19 Verbindungen zu sieben verschiedenen Hosts sowie Downloads von 50 HTTP-Objekten in weniger als fünf Sekunden. Tests zeigten weiter, dass vier Verbindungen durchgehend bestehen, es sich also nicht nur um kurzzeitige Verbindungen handelt. Der Schluss: Eine Firewall mit einer Kapazität für 8.000 Sessions ist überfordert, wenn 2.000 Facebook-Benutzer online sind - und zwar unabhängig davon, ob die Anwender irgendeine Aktivität auf der Web-Seite vornehmen oder nicht.
Das Beispiel "Facebook" führt die Notwendigkeit vor Augen, die Kontrolle über Applikationsnutzung im Unternehmensnetz zurückzugewinnen. Neben der Bandbreitennutzung geht es dabei darum, IT- und Datensicherheit wieder in den Griff zu bekommen, Produktivitätsverlust durch abgelenkte Mitarbeiter zu minimieren und Compliance-Anforderungen zu erfüllen. Um dies zu erreichen, muss eine Lösung alle relevanten Arten von Applikationen auf OSI-Layer 7 identifizieren: Geschäfts- und Privatanwendungen, Server?, Client?, Cloud- und Browser-Anwendungen, soziale Medien und Peer-to-Peer-(P2P-)Anwendungen.
Eine Grundannahme beim Netzwerk-Management mittels Applikationserkennung ist, dass die Mitarbeiter keine größere kriminelle Energie aufwenden, um Unternehmensvorschriften absichtlich und heimlich zu umgehen. Sollte ein solcher Verdacht zum Beispiel im Zusammenhang mit Wirtschaftsspionage bestehen, sind andere forensische Analysen erforderlich.
Mechanismen der Applikationserkennung
Applikationserkennung an sich stellt keine neue Technik dar. Aktuell hingegen ist der Trend, dass diese nicht mehr als separate Lösung fungiert, sondern innerhalb der Firewall stattfindet - am besten direkt im Kernel. Eine solche "Next Generation (NG) Firewall" bietet gegenüber getrennten Lösungen zwei Vorteile: Erstens bietet sie eine gemeinsame Administrationsoberfläche und ein einheitliches Regelwerk für klassisches Firewalling, Applikationserkennung sowie weitere Netzwerk- und Sicherheitsfunktionen - oft unter Rückgriff auf Verzeichnisdienste zur Benutzerzuordnung. Zweitens sinkt die Latenz durch das Single-Pass-Verfahren, also die Bearbeitung "in einem Schwung". Zur Identifikation von Applikationen nutzen diese Lösungen eine Kombination von fünf verschiedenen Mechanismen:
Port- und Protokollerkennung: Basis der Applikationserkennung ist zunächst klassisches Firewalling, also die Identifikation der genutzten Protokolle und Ports. Die Identifikation einer Applikation über diesen Weg stößt freilich schon dort an ihre Grenzen, wo innerhalb eines Protokolls verschiedene Anwendungen zum Einsatz kommen. Über HTTP und HTTPS nutzen Anwender beispielsweise Web-Applikationen wie Youtube, Instant Messaging und soziale Netzwerke. Manche Anwendungen tunneln sich durch Protokolle und andere - wie das kürzlich von Microsoft gekaufte Skype oder der P2P-Filesharing-Dienst Bittorrent - versuchen, sich durch "Port Hopping" und wandelnde IP-Adressen der Erkennung zu entziehen.
Intrusion Prevention und Musterfilterung: Daher schauen die Lösungen in den Inhalt der Datenpakete (Deep Packet Inspection) und gleichen die Datenströme - ähnlich wie bei Virenscannern - mit einer Datenbank von Erkennungsmerkmalen ab. Dies funktioniert recht effizient, was die Kontrolle des HTTP-Ports 80 anbelangt. Dennoch ist auch die reine Musterfilterung leicht zu umgehen, beispielsweise über Verschlüsselung oder Fernzugriff - etwa via Remote Desktop Protocol (RDP).
URL-Filterung: Für Web-Anwendungen, die nicht darauf ausgelegt sind, vor Administratoren und Firewalls verborgen zu bleiben, stellt URL-Filterung einen bedeutenden Ansatzpunkt dar. Wie auch bei der Musterfilterung pflegen die Firewall-Hersteller umfassende Datenbanken, um URLs nach verschiedenen Kriterien zu kategorisieren. Dabei ist die potenzielle Gefahr nur eines von mehreren Kriterien. Auch die Art der Applikation, beispielsweise P2P oder Voice over IP, oder die Inhalte von Web-Seiten sind hinterlegt, damit Administratoren nicht Regeln für jede einzelne URL festlegen müssen, sondern ganze Gruppen einheitlich behandeln können. Bei der Kontrolle von Facebook ist die URL-Filterung bereits ein wichtiger Schritt, mit dem sich die Nutzung stark einschränken lässt. Zur Umgehung der URL-Filterung können Benutzer jedoch auf anonymisierende Proxies zurückgreifen.
Entschlüsselung: NG Firewalls sind in der Lage, bekannte Verschlüsselungen zu decodieren und dann den Datenstrom auf die gleiche Weise zu identifizieren wie unverschlüsselten Traffic. Anschließend verschlüsselt das System die Datenpaket erneut und sendet sie weiter. Die Grenze dabei ist rechtlicher Natur: Will ein Administrator einen SSL-Datenstrom aufbrechen, ist eine Vereinbarung mit dem Betriebsrat notwendig. Sind die Daten mit proprietären Protokollen verschlüsselt, bleiben als letzter Schritt der Erkennung heuristische Methoden.
Heuristik: Heuristische Methoden dienen dazu, auch Anwendungen wie Skype und Bittorrent zu erkennen sowie andere Applikationen, die ihren Traffic durch Proxies, Verschlüsselung, Routing-Techniken oder anderes verschleiern. Anhand des Datenverkehrs lässt sich ein Rückschluss auf die Applikation selbst oder charakteristische Applikationsfunktionen - zum Beispiel Audio, Video oder File-Transfer - gewinnen. Zusätzlich zu den bereits genannten Mechanismen gelten als wichtigste verhaltensbasierende Kriterien, mit denen eine NG Firewall dabei arbeitet,
Paketlängen und deren Variation,
Paket-Timing,
Verhalten des Datenstroms - zum Beispiel Anzahl der Verbindungen - sowie
Durchsatz.
Visualisierung und Policies
Dieser vieldimensionale Ansatz erfordert hohen Forschungs- und Pflegeaufwand bei den Herstellern. Die Latenz ist beim heute gängigen Single-Pass-Verfahren gering, der Durchsatz verlangsamt sich um maximal zehn Prozent. Führende Hersteller kommen auf eine Erkennungsrate von 96 bis 97 Prozent. False Positives liegen bei nur 0 bis 1,5 Prozent. Diese Werte gelten wohlgemerkt im Umgang mit durchschnittlichen Nutzern, nicht bei versierten Anwendern oder professionellen Hackern. Im Gegensatz zum traditionellen Firewalling müssen sich Administratoren außerdem daran gewöhnen, dass die Anwendung den Datenstrom erst einmal aufbauen kann, bevor die Applikationserkennung zuverlässig "zuschlägt". Dies kann so ablaufen, dass sich beispielsweise die Skype-Benutzeroberfläche auf dem Endgerät durchaus öffnet, anschließend aber die Kommunikationsfunktionen nicht nutzbar sind.
Der IT-Administration bieten NG Firewalls mit Applikationserkennung neue Möglichkeiten: So erhält diese im Rahmen einer konvergenten Firewall-Lösung eine übersichtliche, visualisierte Darstellung des Netzwerk-Traffics - aufgeschlüsselt nach Applikationen und Anwendern. Die Administratoren können granulare Policies definieren, basierend etwa auf User ID, Gruppenzugehörigkeit, vorgegebenen Applikations-Nutzungsrichtlinien, Standort, Endgerät, Zeit oder verfügbarer Bandbreite. Und sie können den Umgang mit Applikationen in zahlreichen Abstufungen gestalten: Neben dem Zulassen und Blockieren besteht die Möglichkeit, die Bandbreite zu drosseln, Applikationen höher oder niedriger zu priorisieren, den Benutzern die Möglichkeit zu geben, eine Empfehlung zur Nichtnutzung auch ganz bewusst zu ignorieren ("Override") oder den Administrator zu benachrichtigen. Bei Enterprise-Lösungen lassen sich solche Regelwerke sogar bei dezentralem Internet-Zugang standortübergreifend implementieren. Dann kann ein einziger Administrator auch 20 oder 50 Niederlassungen verwalten. Doch diese wiedergewonnene Kontrolle über das Netzwerk kann Administratoren auch dazu verführen, in altes Netzwerkdenken zurückzufallen, das den heutigen Nutzerbedürfnissen nicht mehr entspricht. P2P-Technik ist beispielsweise in Verruf gekommen, da Tauschbörsen illegale Inhalte auf diese Weise transportieren. Nach Schätzungen ist Bittorrent in über der Hälfte der Unternehmen installiert und P2P nutzt rund ein Zehntel der gesamten Bandbreite in Unternehmensnetzwerken. Aber in bestimmten Bereichen - wie bei Programmierern oder Wissenschaftlern - finden sich auch sehr ernsthafte und zulässige P2P-Anwendungen, die für den Erfolg von Mitarbeitern und Projekten wichtig sind.
Gerade in großen Unternehmen existiert praktisch keine zentrale Instanz, die wirklich besagen kann, welche Applikationen für welchen Mitarbeiter legitim oder gar geschäftskritisch sind. Ein verantwortungsvoller, eingeschränkter Gebrauch von sozialen Medien und privaten Web-Seiten erscheint heute als Idealbild. Überspitzt drückte dies ein Administrator einmal so aus: "Ich fange an, beliebige Anwendungen zu blockieren, wenn ich meinen Job verlieren will." Administratoren sollten den Netzwerkverkehr mit den neuen Möglichkeiten der Applikationserkennung vor allem genau beobachten und optimieren. Denkbar sind dann Regelungen wie:
Zugang auf Jobportale erhält nur die Personalabteilung,
privates Internet-Surfen ist außerhalb der Kernarbeitszeiten und in der Mittagspause möglich, oder
Vertrieb und Marketing erhalten unbeschränkten Zugang zu Facebook und anderen sozialen Netzwerken.
Sollte es eine klare interne Richtlinie geben, beispielsweise Skype nicht zu nutzen, so ist die erfolgreichste Variante zur Durchsetzung, diese Applikation nicht zu blockieren, sondern sie zu drosseln. Unter 10 kBit/s Bandbreite werden solche Kommunikationsanwendungen unerträglich langsam, und der Anwender ist gleichsam paralysiert: Er wird die Nutzung von selbst einschränken. Darüber hinaus sollte das Augenmerk der Administration vor allem auf der Hochverfügbarkeit von geschäftskritischen Anwendungen liegen - beispielsweise dem ERP-System. Solche Applikationen sind hoch zu priorisieren und eventuell gleich auf bessere und verlässlichere Verbindungen zu routen.
Lesen Sie mehr zum Thema
